비즈니스 이메일 사기(BEC), 새로운 기업 보안 위협으로 급부상

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1797호(2017. 5. 24 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

비즈니스 이메일 사기(BEC) 새로운 기업 보안 위협으로 급부상.pdf

ž 매주 새로운 사이버 공격 유형이 등장하는 가운데, ‘비즈니스 이메일 사기(Business E-mail Compromise, BEC)’가 새로운 사이버 공격 위협으로 주목받고 있음

Ø 비즈니스 이메일 사기(BEC, 벡)는 거래처에 송금해야 하는 기업을 대상으로 하는 공격으로 합법적인 거래처로 가장한 이메일로 상대방을 속이고 위조한 청구서 등을 보내 송금을 유도하는 것인데, 새로운 유형이라고는 하지만 그 존재 자체는 전혀 새로운 것은 아님

Ø 공격 대상은 송금 업무를 담당하는 회계 부서 직원 등인데, 통상 업무 건당 거래 규모가 큰 대기업일 경우 만일 벡에 속게 된다면 거액의 돈을 송금하게 될 위험에 처하게 됨

<자료> FBI [그림 1] CEO의 송금 지시를 가장한 비즈니스 이메일 사기

Ø 벡은 사기를 통해 부정한 방법으로 경제적 이익을 얻으려 한다는 점에서, 소셜 엔지니어링 기법을 통해 지인으로 가장하여 기업의 주요 정보를 빼내는 데 목적을 두는 ‘표적 공격 이메일’과는 성격을 달리함

Ø 미 연방수사국(FBI)에 따르면 벡은 2013년 10월경부터 확인되기 시작했으며 그때부터 2016년 6월까지 미국 인터넷 범죄 신고 센터에 신고된 벡의 사기 피해 건수는 전세계 79개국에서 2만 2,143 건이며 피해액은 약 31억 달러에 달함

Ø 또한 지난 1 년 동안 가짜 송금 지시 메일이나 금전 사취를 목적으로 한 메일이 직원에 전달된 기업의 비율은 미국 75.2%, 싱가포르 65.6%이며, 그 중 실제로 금전적 피해를 입은 기업의 비율은 미국 60.6%, 싱가포르 37.5%에 달했다고 함

Ø 비즈니스 이메일 사기와 이메일 계정 사기(EAC)를 합한 피해금액은 2013년부터 2016년까지 전세계 131개 국에서 총 53억 달러에 달했으며, 특히 2016년은 2015년에 비해 피해금액이 23.7배가 증가해 올해 2017년은 더욱 기승을 부릴 것으로 예상됨

Ø 최근 일본에서는 약 28억 엔에 달하는 거액의 비자금을 돈세탁 목적으로 일본에 송금한 나이지리아인과 일본인 총 14명이 체포되는 사건이 발생했는데, 이 비자금은 벡 사기를 통해 부당하기 갈취한 돈이라고 함

ž 벡은 랜섬웨어와 달리 건당 피해금액이 크다는 점에서 기업에 주는 타격이 보다 직접적인데, 평균 피해금액은 10만 달러 이상이라고 함

Ø 최근 공격이 급증하고 있는 벡은 기업과 조직을 대상으로 한 금전의 부당한 취득이 목적이라는 점에서 랜섬웨어와 유사하나, 공격 방법의 차이가 있으며 건당 피해액 규모 측면에서는 비즈니스 이메일 사기가 보다 심각함

Ø 랜섬웨어는 기업의 PC를 감염시켜 저장되어 있는 파일을 암호화하여 사용할 수 없도록 한 다음, 암호를 풀고 싶으면 몸값을 지불하라는 바이러스인데, 피해자가 ‘그 정도 금액이라면……’이라 생각할 정도의 몸값 수준을 설정하기 때문에 과도한 금액은 요구하지 않는 경우가 많음

Ø 반면 벡의 경우는, 특히 기업의 규모가 클수록 피해금액이 커지는데, FBI의 조사에서 총 피해금액을 피해건수로 나눠 보면 건당 피해금은 약 14만 달러가 됨

Ø 보안 솔루션 기업인 시큐어 테크놀로지의 조사에 따르면 벡으로 인한 사기 피해를 당한 기업 중 피해 금액이 10만 달러 이상인 기업의 비율이 47.8%로 거의 절반에 가까웠음

ž 비즈니스 이메일 사기가 무서운 점은 백신 소프트웨어로는 막을 수 없다는 것으로, 기업과 직원들이 스스로 벡의 가능성을 인지하고 조심해야 하는 수밖에 없음

Ø 벡은 메일로 속여 입금시킨다는 단순한 수법한 수법을 사용하기 때문에, 외견상 사이버 공격이라기 보다는 ‘보이스 피싱’에 가깝고 보아야 함

Ø 간단한 수법이라고 하지만 상대를 속이는 궁리는 매우 정교해서, 거래처로 가장하거나 자사의 경영자 또는 변호사로 행세하는 등 패턴이 다양하며, 상대방이 신뢰하도록 만들기 위해 실제 이메일 주소를 얻어 내거나 사전 정보 수집을 위해 소셜 엔지니어링을 구사하기도 함

Ø 이런 특성 때문에 그 대응 방법 마련이 매우 어렵게 되는데, 메일에 바이러스나 악성 코드가 숨겨진 파일이 첨부되어 있는 것도 아니기 때문에 방화벽이나 바이러스 백신 소프트웨어와 같은 기술적 대응 방식이 통하기 어려움

Ø 이는 보이스 피싱 전화가 오는 것 자체를 막기가 어려운 것과 같은 이치로, 송금 담당자 등 한사람 한사람이 ‘이 메일이 혹시 가짜가 아닐까’라고 의심해 송금 시 확인 절차를 강화하는 등의 매뉴얼 마련이 보다 효과적인 대응 수단임

Ø 그러나 보이스 피싱 사기 피해가 좀체 줄어들지 않고 상당히 신중하다고 평가 받는 사람이라도 종종 보이스 피싱에 속는 것은 다 그만한 이유가 있기 때문

Ø 공격이 급증하고 있는 랜섬웨어나 표적 공격에 대해서도 보안 및 IT 관련 지식이 많지 않은 직원들은 무관심한 경우가 많으며 피해를 당하고 나서야 위험을 실감하는 것이 보편적 현상임

Ø 그래도 우선은 비즈니스 이메일 사기의 존재를 널리 주지시키는 것이 중요하며, 기업은 지속적으로 보안 교육을 실시하고, 언론은 관심을 갖고 비중 있게 다루어 환기시키는 것이 평범하지만 효과적인 벡 대응 방안임